 ▲ 암호화폐 탈취, 사이버 보안, 해킹/AI 생성 이미지 |
한순간의 방심으로 주소 앞뒤만 확인하고 전송 버튼을 눌렀다가 1,240만 달러 상당의 이더리움을 허무하게 날린 충격적인 사건이 발생해 투자자들의 각별한 주의가 요구된다.
1월 31일(현지시간) 암호화폐 전문 매체 비인크립토에 따르면 블록체인 분석가 스펙터(Specter)는 한 암호화폐 투자자가 주소 오염 공격에 당해 4,556이더리움(Ethereum, ETH)을 도난당했다고 전했다. 피해 금액은 약 1,240만 달러에 달하며 이번 사건은 공격자가 피해자 지갑에 소액을 전송하는 이른바 더스팅 공격을 감행한 지 약 32시간 만에 발생했다.
공격자는 무려 두 달 동안 피해자의 거래 활동을 집요하게 감시하며 장외거래(OTC) 정산용 입금 주소를 특정해냈다. 이후 베니티 주소 생성 프로그램을 이용해 피해자가 평소 사용하는 주소와 시작 및 끝 문자가 정확히 일치하는 가짜 주소를 만들어냈다. 이는 사용자들이 긴 16진수 문자열의 전체를 확인하지 않고 앞뒤 일부만 대조하는 습관을 교묘하게 노린 치밀한 수법이다.
공격자는 위조된 주소로 피해자 지갑에 소액을 먼저 이체해 거래 기록 최상단에 자신의 주소를 노출시켰다. 최근 거래 목록을 신뢰한 피해자는 1,240만 달러라는 거금을 이체하면서 진본 주소 대신 기록에 남아있던 가짜 주소를 무심코 복사해 붙여넣는 치명적인 실수를 범하고 말았다. 지갑 인터페이스가 화면 공간 절약을 위해 주소 중간 부분을 가리는 점도 피해자가 차이를 눈치채지 못한 원인으로 지목된다.
이번 사건은 지난달 다른 트레이더가 유사한 수법으로 약 5,000만 달러를 탈취당한 데 이어 발생한 두 번째 대형 사고다. 수백만 달러를 움직이는 기관급 투자자들은 통상 엄격한 화이트리스트 절차와 테스트 전송을 거치지만 이번 사례는 검증 프로토콜에 심각한 허점이 있음을 시사한다. 개인 투자자뿐만 아니라 거액 자산가들조차 기본적인 보안 수칙을 간과할 경우 막대한 손실을 피할 수 없음을 보여준다.
블록체인 보안 업체 스캠스니퍼(Scam Sniffer)는 반복적인 암호화폐 전송 시 절대 거래 내역에 의존해서는 안 된다고 강력히 경고했다. 전문가들은 인터페이스 스푸핑 위험을 원천 차단하기 위해 검증된 주소록을 활용하고 전송 전 전체 주소를 꼼꼼히 대조하는 습관만이 자산을 지키는 유일한 방법이라고 조언했다.
*면책 조항: 이 기사는 투자 참고용으로 이를 근거로 한 투자 손실에 대해 책임을 지지 않습니다. 해당 내용은 정보 제공의 목적으로만 해석되어야 합니다.*